![[HaBo]](/styles/default/logoklein.png){kind=small}
Tausende EC-Geldkartenladestationen in McDonald's-Filialen in Deutschland wiesen über Jahre gravierende Sicherheitslücken auf.
Durch einfache Manipulationen hätten sich "Hacker" in die Systeme via ISDN einwählen und sie vollständig kontrollieren können. Auch die PIN- Nummern von EC-Karten wären dann nicht mehr sicher vor Spionage gewesen, berichtet das Magazin "c't" in der aktuellen Ausgabe. "
Hätte sich ein Eindringling beispielsweise mit Hilfe eines Trojanischen Pferdes eine PIN-Nummer beschafft, müsste er "nur noch" die EC- Karte selbst in seinen Besitz bringen, um beliebig viel Geld vom Konto seines Opfers abzuheben.
Inzwischen hat der Betreiber, die Sparkassentochter sCard Service, die Sicherheitslücke allerdings geschlossen.
Zertifizierungspraxis zweifelhaft
"Der gesamte Vorgang wirft jedoch die grundsätzliche Frage auf, ob die gängige Zertifizierungspraxis tatsächlich ausreicht, die Sicherheit elektronischer Bezahlsysteme zu gewährleisten", meint "c't"-Redakteur Jürgen Schmidt.
Der Zentrale Kreditausschuss [ZKA] hatte das System als sicher eingestuft. Es stellte sich aber heraus, dass zwar die PIN-Eingabe an sich verschlüsselt abläuft, die Systemumgebung derweil aus einem ungesicherten Windows 95 besteht, in das sich ein Trojaner einschleichen könnte, um über einen Trick an die PIN-Nummern zu kommen.
Um die Windows-Umgebung hinter der Bedieneroberfläche zu Gesicht zu bekommen, reichte es, eine ungültige Karte einige Minuten in das Terminal zu stecken, woraufhin das System einen Neustart durchführte.
Weitere Info´s in der aktuellen C´T.
Durch einfache Manipulationen hätten sich "Hacker" in die Systeme via ISDN einwählen und sie vollständig kontrollieren können. Auch die PIN- Nummern von EC-Karten wären dann nicht mehr sicher vor Spionage gewesen, berichtet das Magazin "c't" in der aktuellen Ausgabe. "
Hätte sich ein Eindringling beispielsweise mit Hilfe eines Trojanischen Pferdes eine PIN-Nummer beschafft, müsste er "nur noch" die EC- Karte selbst in seinen Besitz bringen, um beliebig viel Geld vom Konto seines Opfers abzuheben.
Inzwischen hat der Betreiber, die Sparkassentochter sCard Service, die Sicherheitslücke allerdings geschlossen.
Zertifizierungspraxis zweifelhaft
"Der gesamte Vorgang wirft jedoch die grundsätzliche Frage auf, ob die gängige Zertifizierungspraxis tatsächlich ausreicht, die Sicherheit elektronischer Bezahlsysteme zu gewährleisten", meint "c't"-Redakteur Jürgen Schmidt.
Der Zentrale Kreditausschuss [ZKA] hatte das System als sicher eingestuft. Es stellte sich aber heraus, dass zwar die PIN-Eingabe an sich verschlüsselt abläuft, die Systemumgebung derweil aus einem ungesicherten Windows 95 besteht, in das sich ein Trojaner einschleichen könnte, um über einen Trick an die PIN-Nummern zu kommen.
Um die Windows-Umgebung hinter der Bedieneroberfläche zu Gesicht zu bekommen, reichte es, eine ungültige Karte einige Minuten in das Terminal zu stecken, woraufhin das System einen Neustart durchführte.
Weitere Info´s in der aktuellen C´T.